Vsebina dnevnikov obdelave
+ -Številka: 07121-1/2023/751
Kategorije: Varnost osebnih podatkov
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede vodenja dnevnika obdelave osebnih podatkov.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
IP v okviru neobvezujočega mnenja ne more presojati ustreznosti določene rešitve z vidika skladnosti z obstoječimi predpisi s področja varstva osebnih podatkov.
Upravljavec lahko obseg oziroma vsebino dnevnika obdelave (tudi globino revizijske sledi) prilagodi glede na konkretna tveganja, ki so bila identificirana v oceni učinka, a le v smislu morebitnega povečanja obsega dejanj obdelave. Vodenje dnevnika za dejanja obdelave, ki so določena v prvem odstavku 22. člena ZVOP-2, je obvezno.
Sledljivost obdelav osebnih podatkov mora biti zagotovljena na način, da se da iz nje razbrati, katere osebe so bile predmet obdelave (neposredno ali posredno).
V skladu s prehodno določbo 120. člena ZVOP-2 morajo upravljavci vodenje dnevnikov obdelave uskladiti z 22. členom ZVOP-2 v dveh letih od uveljavitve tega zakona.
O b r a z l o ž i t e v:
IP uvodoma pojasnjuje, da v okviru neobvezujočega mnenja ne more presojati ustreznosti določene rešitve, niti ne more vnaprej potrjevati posameznih rešitev ali konkretnih dejanj obdelave osebnih podatkov z vidika skladnosti z obstoječimi predpisi s področja varstva osebnih podatkov. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega postopka. V nadaljevanju IP zato podaja splošna pojasnila, na podlagi katerih lahko tisti, ki podatke obdeluje, ugotavlja skladnost svojega ravnanja s predpisi s področja varstva osebnih podatkov.
IP pojasnjuje, da ZVOP-2 v 22. členu določa obveznost vodenja dnevnika obdelave, njegovo vsebino, namen njegove uporabe in rok hrambe. Dnevniki obdelave so namenjeni zagotavljanju t.i. sledljivosti (revizijski sledi) dejanj obdelave osebnih podatkov v realnem času, ki omogočajo kasnejšo analizo v primeru ugotavljanja zakonitosti obdelave, zagotavljanje celovitosti in varnosti podatkov ter za odpravljanje napak v delovanju informacijskega sistema. Zagotavljati pa morajo (najmanj) vrsto dejanja obdelave, datum in čas obdelave, identifikacijo osebe, ki je izvedla dejanje obdelave, ter identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb. Vsak posamezni upravljavec pa lahko ob upoštevanju ocene učinka določi dodatne vsebine dnevnika obdelave.
ZVOP-2 v 22. členu določa, da upravljavci po tem zakonu zaradi učinkovitejšega izvajanja 2. in 3. oddelka IV. poglavja Splošne uredbe vodijo dnevnik obdelave:
1. kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, ali
2. kadar gre za redno in sistematično spremljanje posameznikov, ali
3. kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali
4. če tako določa zakon.
Vodenje dnevnika obdelave je v navedenih primerih obvezno. Ob tem IP pojasnjuje, da kadrovski informacijski sistemi praviloma ne sodijo med takšne, ki bi terjali dnevnike obdelave glede na točke 1 do 4 22. člena ZVOP-2. IP vam svetuje, da najprej preverite, ali obdelave osebnih podatkov, ki ste jih navedli v vašem zaprosilu za mnenje, sodijo v okvir 1. do 4. točke 22. člena ZVOP-2. Ob tem IP dodatno pojasnjuje, da zato, ker je podrobnejše organizacijske, tehnične in logično tehnične postopke ter ukrepe za varnost osebnih podatkov v sistemskem zakonu zelo težko določiti, saj so odvisni od različnih okoliščin, v katerih se obdelujejo posamezni osebni podatki, in ker Splošna uredba ukrepov za zagotovitev varnosti obdelave ne predpisuje taksativno, lahko upravljavci dnevnike obdelave vodijo tudi na podlagi ocene tveganj iz 32. člena Splošne uredbe, seveda pod pogojem, da gre za ustrezen ukrep. V vsakem primeru pa je pri vodenju dnevnikov obdelave treba upoštevati tudi usmeritve, ki jih je IP podal v obstoječih smernicah glede zavarovanja osebnih podatkov varnosti (str. 21 in naslednje):
https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf
Glede same vsebine dnevnika obdelav IP pojasnjuje, da prvi odstavek 22. člena ZVOP-2 določa, da se dnevnik obdelave zagotovi za naslednja dejanja obdelave osebnih podatkov:
1. zbiranje;
2. spreminjanje;
3. vpogled;
4. razkritje, vključno s prenosi;
5. izbris;
6. druga dejanja obdelave, ki jih določa zakon.
Dnevnik obdelave mora za navedena dejanja obdelave vsebovati:
- vrsto dejanja obdelave, datum in čas obdelave,
- identifikacijo osebe, ki je izvedla dejanje obdelave, ter
- identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb.
Sledljivost obdelav osebnih podatkov mora biti zagotovljena na način, da se da iz nje razbrati, katere osebe so bile predmet obdelave (neposredno ali posredno). Dodatne vsebine dnevnika obdelave lahko določi upravljavec ob upoštevanju ocene učinka. Ob tem IP pojasnjuje, da je bilo v predlogu ZVOP-2[1] pojasnjeno, da lahko drug zakon ali notranji akt določa tudi druge sestavine dnevnika, ki so potrebni za doseganje namena, če to zahteva ocena učinka v zvezi s konkretno obdelavo. Upoštevaje tudi že zgoraj obrazloženo IP meni, da lahko upravljavec globino revizijske sledi v dnevniku obdelave prilagodi glede na konkretna tveganja, ki so bila identificirana v oceni učinka, a le v smislu morebitnega povečanja obsega dejanj obdelave. Vodenje dnevnika za dejanja obdelave, ki so določena v prvem odstavku 22. člena ZVOP-2, pa je obvezno in te dolžnosti upravljavec ne more obiti.
IP sklepno dodaja še, da morajo v skladu s prehodno določbo 120. člena ZVOP-2 upravljavci vodenje dnevnikov obdelave uskladiti z 22. členom ZVOP-2 v dveh letih od uveljavitve tega zakona. Seveda pa morajo upravljavci ne glede na to še vedno izvajati svoje obveznosti v zvezi z varnostjo obdelave osebnih podatkov v skladu z 32. členom Splošne uredbe, ki prav tako vključujejo obveznost zagotavljanja sledljivosti obdelav, če to zahtevajo tveganja konkretne obdelave.
Lepo vas pozdravljamo.
Pripravil:
Matej Sironič,
Svetovalec pooblaščenca
za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav.,
Informacijska pooblaščenka
[1] https://e-uprava.gov.si/drzava-in-druzba/e-demokracija/predlogi-predpisov/predlog-predpisa.html?id=10208.